信息安全技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
16
入侵检测系统
入侵检测系统分为特征检测与异常检测两种。
特征检测 特征检测(Signature-based detection) 又称Misuse detection ,这一检测
假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这 些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难 点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。 异常检测
入侵防御系统
入侵防御系统分类
基于主机的IPS
基于主机的IPS 依靠在被保护的系统中所直接安装的代理。它与操作系 统内核和服务紧密地捆绑在一起,监视并截取对内核或API 的系统调用,以便达 到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境(如网页服务 器的文件位置和注册条目),以便能够保护该应用程序使之能够避免那些还不存 在签名的、普通的攻击。
异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活 动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与 “活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。 异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正 常的操作作为“入侵”或忽略真正的“入侵”行为。
百度文库
和输出邮件及其附件(支持HTTP、FTP、POP3、SMTP、IMAP、IM、
NNTP)协议。
•
实现对灰色软件、间谍软件及其变种进行阻断。
•
支持MSN(非加密和非压缩模式下)等IM协议病毒防护。
•
支持常见WEB邮件系统(仅支持163)的病毒防护。
•
支持多接口可旁路的病毒文件传输监听检测方式,可并行监听并检测
18
入侵检测系统
分布式
这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上 采用主机入侵检测,在网络关键节点上采用网络入侵检测,同时分析来自主机系 统的审计日志和来自网络的数据流,判断被保护系统是否受到攻击 。
19
入侵检测系统
入侵检测系统典型部署
20
入侵防御系统
什么是入侵防御系统
具传输时,支持病毒检查。
• 支持基于病毒防护规则设置病毒隔离、阻断、清除、记录日志,发送电子
邮件报警等。
7
防火墙
防火墙简介
•
最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思
义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就
是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,
22
入侵防御系统
基于网络的
基于网络的IPS 设备只能阻止通过该设备的恶意信息流。为了提高IPS 设
备的使用效率,必须采用强迫信息流通过该设备的方式。更为具体的来说,受
保护的信息流必须代表着向联网计算机系统或从中发出的数据,且在其中:指
多个网段内的病毒传输行为,用于高可靠性要求的旁路应用环境。
•
支持病毒感染主机分析与隔离,防止病毒进一步扩散,提高网络整体
安全性。
•
支持根据不同的源IPv4/IPv6地址、目的IPv4/IPv6地址、服务、时间、
接口、用户等,采用不同的病毒防御策略。
•
支持对文件大小和类型的限制。
•
支持tar、gzip、rar、zip等压缩格式的病毒扫描FTP使用断点续传工
信息安全技术
1
目录
1
• 防病毒
2
• 防火墙
3
• 入侵检测和入侵防御系统
4
• 安全管理平台
2
防病毒
防病毒概念
3
防病毒
防病毒发展阶段
4
防病毒
防病毒与防火墙关系
5
防病毒
防病毒网关与防病毒软件区别
6
防病毒
防病毒网关功能优势
•
能够100%检测,消除感染现有网络的病毒和蠕虫,实时的扫描输入
IPS(Intrusion Prevention System 入侵防御系统)对于初始者来说, IPS位于防火墙和网络的设备之间。这样,如果检测到攻击,IPS会在这种攻击扩 散到网络的其它地方之前阻止这个恶意的通信。IDS只是存在于你的网络之外起到 报警的作用,而不是在你的网络前面起到防御的作用。
21
17
入侵检测系统
入侵分类
基于主机 一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机
系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不 需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但 是占用主机资源,依赖于主机的可靠住,所能检测的攻击类型受限。不能检测网络攻 击。 基于网络
使Internet与Internet之间建立起一个安全网关(Security Gateway),从
而保护内部网免受非法用户的侵入。
8
防火墙
防火墙角色演化
9
防火墙
防火墙主要功能
10
防火墙
11
防火墙
12
防火墙
13
防火墙
14
防火墙
典型部署
15
入侵检测系统
入侵检测系统简介
入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分 析网络行为、安全日志、审计入侵检测数据、其它网络上可以获得的信息以及计 算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为 和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻 击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。 因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网 络进行监测。入侵检测通过执行以下任务来实现:监视、分析用户及系统活动; 系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常 行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪 管理,并识别用户违反安全策略的行为。
通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中 提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别 攻击事件。此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平 台;配置简.单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的 攻击等多种攻击。但它只能监视经过本网段的活动,无法得到主机系统的实时状态, 精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统.
入侵检测系统
入侵检测系统分为特征检测与异常检测两种。
特征检测 特征检测(Signature-based detection) 又称Misuse detection ,这一检测
假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这 些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难 点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。 异常检测
入侵防御系统
入侵防御系统分类
基于主机的IPS
基于主机的IPS 依靠在被保护的系统中所直接安装的代理。它与操作系 统内核和服务紧密地捆绑在一起,监视并截取对内核或API 的系统调用,以便达 到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境(如网页服务 器的文件位置和注册条目),以便能够保护该应用程序使之能够避免那些还不存 在签名的、普通的攻击。
异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活 动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与 “活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。 异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正 常的操作作为“入侵”或忽略真正的“入侵”行为。
百度文库
和输出邮件及其附件(支持HTTP、FTP、POP3、SMTP、IMAP、IM、
NNTP)协议。
•
实现对灰色软件、间谍软件及其变种进行阻断。
•
支持MSN(非加密和非压缩模式下)等IM协议病毒防护。
•
支持常见WEB邮件系统(仅支持163)的病毒防护。
•
支持多接口可旁路的病毒文件传输监听检测方式,可并行监听并检测
18
入侵检测系统
分布式
这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上 采用主机入侵检测,在网络关键节点上采用网络入侵检测,同时分析来自主机系 统的审计日志和来自网络的数据流,判断被保护系统是否受到攻击 。
19
入侵检测系统
入侵检测系统典型部署
20
入侵防御系统
什么是入侵防御系统
具传输时,支持病毒检查。
• 支持基于病毒防护规则设置病毒隔离、阻断、清除、记录日志,发送电子
邮件报警等。
7
防火墙
防火墙简介
•
最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思
义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就
是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,
22
入侵防御系统
基于网络的
基于网络的IPS 设备只能阻止通过该设备的恶意信息流。为了提高IPS 设
备的使用效率,必须采用强迫信息流通过该设备的方式。更为具体的来说,受
保护的信息流必须代表着向联网计算机系统或从中发出的数据,且在其中:指
多个网段内的病毒传输行为,用于高可靠性要求的旁路应用环境。
•
支持病毒感染主机分析与隔离,防止病毒进一步扩散,提高网络整体
安全性。
•
支持根据不同的源IPv4/IPv6地址、目的IPv4/IPv6地址、服务、时间、
接口、用户等,采用不同的病毒防御策略。
•
支持对文件大小和类型的限制。
•
支持tar、gzip、rar、zip等压缩格式的病毒扫描FTP使用断点续传工
信息安全技术
1
目录
1
• 防病毒
2
• 防火墙
3
• 入侵检测和入侵防御系统
4
• 安全管理平台
2
防病毒
防病毒概念
3
防病毒
防病毒发展阶段
4
防病毒
防病毒与防火墙关系
5
防病毒
防病毒网关与防病毒软件区别
6
防病毒
防病毒网关功能优势
•
能够100%检测,消除感染现有网络的病毒和蠕虫,实时的扫描输入
IPS(Intrusion Prevention System 入侵防御系统)对于初始者来说, IPS位于防火墙和网络的设备之间。这样,如果检测到攻击,IPS会在这种攻击扩 散到网络的其它地方之前阻止这个恶意的通信。IDS只是存在于你的网络之外起到 报警的作用,而不是在你的网络前面起到防御的作用。
21
17
入侵检测系统
入侵分类
基于主机 一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机
系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不 需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但 是占用主机资源,依赖于主机的可靠住,所能检测的攻击类型受限。不能检测网络攻 击。 基于网络
使Internet与Internet之间建立起一个安全网关(Security Gateway),从
而保护内部网免受非法用户的侵入。
8
防火墙
防火墙角色演化
9
防火墙
防火墙主要功能
10
防火墙
11
防火墙
12
防火墙
13
防火墙
14
防火墙
典型部署
15
入侵检测系统
入侵检测系统简介
入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分 析网络行为、安全日志、审计入侵检测数据、其它网络上可以获得的信息以及计 算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为 和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻 击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。 因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网 络进行监测。入侵检测通过执行以下任务来实现:监视、分析用户及系统活动; 系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常 行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪 管理,并识别用户违反安全策略的行为。
通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中 提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别 攻击事件。此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平 台;配置简.单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的 攻击等多种攻击。但它只能监视经过本网段的活动,无法得到主机系统的实时状态, 精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统.